DESDIFOR Digital Forensic Readiness IKT SOS seminar 1-2. mars 2005 Ingvar Tjøstheim & Åsmund Skomedal Norsk Regnesentral

DESDIFORs virkeområde Proaktiv innsamling og oppbevaring av digitale data med formålet å (potentielt) anvende disse som bevis i sivilrettslige, straffrettslige, eller i intern disiplinære tvister

Digital forensics ► Post mortem (etter) ► ”Politi perspektiv” på ”digital forensics” ► ”Disk imaging” og søk etter spor ► Forensic readiness (før/foran) ► Organisasjoners perspektiv på ”digital forensics” ► ”the ability of an organization to maximize its potential to use digital evidence while minimizing the cost of an investigation” “A Ten Step Process for Forensic Readiness” Rowlingson R.

Om prosjektet Hensikten med prosjektet er: et forslag til standard (i) og å utvikle en metodikk for å etablere (ii) en slik standard. Forslaget til standard vil være tilpasset norsk lovgivning, men metodologien og prosjektresultater vil kunne anvendes i en internasjonal sammenheng.

Om desidifor (forts.) Resultater fra prosjektet: ► forslag til standard (i) ► Metodikk (ii) for å bygge, evaluere og måle effekten av “digital forensic standards”

Desdifor (forts.) ► Integrasjon og analyse av relevante norske lover (iii) i modellen ► spredning av prosjektresultater, aktiviteter som bygger opp under feltet digital forensic I Norge. Kontakt med utenlandske miljøer (ref CTOSE). ► Dette (se ovenfor) skal bidra til mer effektiv og bedre samhandling mellom aktører i en etterforskning, de berørte partene, domstoler, og tredje parter (v); Retningslinjer til en operasjonell modell som en organisasjon kan bruke slik at en “computer forensic” prosedyre vil kunne fremskaffe bevis som er tilgjengelige, autentiske, fullstendige og troverdige i en rettsak (vi). Dette vil bidra til og forenkle arbeidet til myndighets aktører, og de involverte organisasjonene.

Desdifor (forts.) Papers og rapporter: ► (i) Hovedrapport: dokumenterer den foreslåtte standard for innsamling, administrasjon, og rapportering av digitale forensic bevis for norske virksomheter. Denne rapporten vil innholde en del som dreier seg om “best practices” og en metodikk for hvordan møte disse kravene. ► (ii) En rapport som drøfter Norske lover som er særlige relevante for “digital forensic.” ► (iii) papers om digital forensic readiness, prosjektresultater….

Desidifor (forts) ► Forslag til Norsk standard ▪Brukerinvolvering (input) er nødvendig ▪Ikke bare hva som bør gjøres, men også hvordan ▪Tilpasning til organisasjoners særpreg ▪Avveining mellom kostnad, personvern og risiko ► Levere delresultater av relevans ► Resultat med internasjonal relevans ▪Standard rammeverk ▪Metodikk og formalismer ► Møter og workshops ► Sluttleveranse september 2005

Leveranser ► Papers ▪Paper om motivasjon for hvorfor det er behov for en strukturert tilnærming til forensic readiness ▪Paper som beskriver den strukturerte prosessen i DESDIFOR ▪… ► Prosjektrapporter – resultater fra prosjektet ▪Retningslinjer (guideline) – dette er også omtalt som standard forslag eller en strukturert prosess. ▪Metodikk for å lage forensic readiness retningslinjer i en nasjonal kontekst. ▪Juridiske spørsmål ► Retningslinjer til hvordan implementere forensic readiness ► Møter, workshops og et seminar (i tilkytning til avslutningen av prosjektet)

DESDIFOR prosessen (analyse) (1) Analyse av ”kriminalitet og tvist” risiko Dokumentasjon av risiko (2) Analyse av organisasjonens beviskilder

Organisasjonens beviskilder (3) Valg av innsamlingspolicy (4) Analyse av krav assosiert med beviskilder Organisasjonens innsamlingspolicy

DESDIFOR prosessen (analyse) (1) Analyse av ”kriminalitet og tvist” risiko Dokumentasjon av risiko (2) Analyse av organisasjonens beviskilder Organisasjonens beviskilder (3) Valg av innsamlingspolicy Organisasjonens innsamlingspolicy (4) Analyse av krav assosiert med beviskilder Krav knyttet til innsamling og oppbevaring Krav som ikke er direkte knyttet til innsamling og oppbevaring

Veiledning og støtte i analyseprosessen ► Veiledning i DESDIFOR prosessen ▪Metodikk for analyse av ”kriminalitet og tvist” risiko (WP6). ▪Metodikk for analyse av organisasjonens beviskilder (nåværende kapabiliteter og eventuelle muligheter) (WP4). ▪Metodikk for å velge innsamlingspolicy (WP1). ▪Metodikk for analyse av krav (WP1).

Veiledning og støtte i analyseprosessen (forts ) ► Støtte til DESDIFOR prosessen. Besvarer følgende spørsmål: ▪Hvilke kriminalitets- og tvisttyper berører DESDIFOR (WP 3)? ▪Hvilke typer av beviskilder er nyttige for hvilke kriminalitets- og tvisttyper (WP 4)? ▪Hvilke beviskilder kan brukes lovlig og under hvilke vilkår og forpliktelser (WP 2 og WP 5)? ▪Er det noen beviskilder som er av slik allmenn verdi at de kan anses som ”default” beviskilder (WP 4 og WP5)?

Krav knyttet til innsamling og oppbevaring Krav ikke direkte knyttet til innsamling og oppbevaring Organisasjonens innsamlingspolicy DESDIFOR prosessen (realisering)

DESDIFOR prosessen (realisering) Realisering av andre aspekter Realisering av innsamling Realisering av oppbevaring

DESDIFOR prosessen (realisering) Implementasjon (teknologi og rutiner) Dokumentasjon

DESDIFOR prosessen (realisering) Krav knyttet til innsamling og oppbevaring Krav ikke direkte knyttet til innsamling og oppbevaring Organisasjonens innsamlingspolicy Realisering av andre aspekter Realisering av innsamling Realisering av oppbevaring Implementasjon (teknologi og rutiner) Implementasjon (teknologi og rutiner) Dokumentasjon Implementasjon (rutiner)

Støtte i realiseringsprosessen ► Veiledning i DESDIFOR prosessen ▪Realisering av innsamling (WP1). ▪Realisering av oppbevaring (WP1). ▪Realisering av andre aspekter (WP1). ► Støtte til DESDIFOR prosessen. (forts)

Støtte i realiseringsprosessen (II) ► Veiledning... ► Støtte til DESDIFOR prosessen. Dreier seg om følgende spørsmål: ▪Hvordan kan lovkrav assosiert med beviskilder møtes (WP5)? ▪Hvilke generelle krav stiller loven på innsamling og oppbevaring av bevis for a beviset skal anses å ha vekt (WP2)? ▪Hvilke andre krav bør stilles (WP 7 og 8)? ▪Hvordan kan disse lovkravene og andre krav møtes ▪(WP 7 og 8)? ▪Hvordan kan beviskilder tas i bruk med hjelp av innsamlingsteknologi (WP7)?

WP1 DESDIFOR prosessen WP6 Metodikk for analyse av ”kriminalitet og tvist” risiko WP4b Metodikk for analyse av organisasjonens beviskilder

WP2a Begrensninger satt av loven WP3 Analyse av hvilke typer av kriminalitet og tvister som berører DESDIFOR WP4a Analyse av mulige beviskilder WP5 Syntese av muligheter og begrensninger

WP2b Lovkrav på innsamling og oppbevaring WP8 Oppbevaringskrav og -veiledning WP7 Innsamlingskrav og -veiledning

Arbeidspakker (WPs) WP2a Begrensninger satt av loven WP2b Lovkrav på innsamling og oppbevaring WP3 Analyse av hvilke typer av kriminalitet og tvister som berører DESDIFOR WP4a Analyse av mulige beviskilder WP1 DESDIFOR prosessen WP6 Metodikk for analyse av ”kriminalitet og tvist” risiko WP4b Metodikk for analyse av organisasjonens beviskilder WP5 Syntese av muligheter og begrensninger WP8 Oppbevaringskrav og -veiledning WP7 Innsamlingskrav og -veiledning WP10 Rapportering

WP1 Prosess ► Prosess for implementering av DESDIFOR i en organisasjon. ► Alle andre WPs må organiseres ut i fra denne prosessen. ► Oppgaver og informasjonsflyt mellom oppgaver identifiseres. ► Innholdet i oppgavene beskrives på overordnet nivå – det er også behov for en konkretisering av oppgaver (task level)

WP2 Juridiske problemstillinger og analyse ► Privates innsamling av digitale bevis - rettslige aspekter ► Utredning ved Line Coll og Prof. Dag Wiese Schartum, AFIN, UiO

Noen utgangspunkter Privat innsamling av bevis Formålet med innsamlingen av opp- lysninger er ikke bruk som bevis Formålet med innsamling er å bruke opplysninger som bevis § Straffeprosessloven § mv § Personopplysningsloven § mv Domstolenes vurdering av bevis Politiets innsamling av bevis § Læren om fri bevisbedømmelse § - Lovlig innsamlet - Kvalitet Hva har betydning for funksjon som bevis?

Noen hovedpunkter i vurderingen etter personopplysningsloven Spørsmål om personopplysninger er lovlig innsamlet Spørsmålet om personopplysninger har nødvendig kvalitet • Fastlegging av formål • Etablering av rettslig grunnlag • Søke konsesjon/sende melding • Tilstrekkelig identifisering • Tilstrekkelig kvalitet • Tilstrekkelig integritet

WP3 kriminalitets- og tvisttyper ► Det finnes forskjellige grupper eller kategorier av digital kriminalitet. Men det er ikke identifisert noe tilsvarende for tvister ► Mål, verktøy og bevaring ► fruits of crime ► DESDIFORs virkeområde i relasjon til disse kategoriene diskuteres. ► Diskusjon om hvilke kriminalitets- og tvisttyper som ombefattes av DESDIFOR.

WP4 Beviskilder ► Egenskaper/karakteristikka/inndeling av ulike digitale beviskilder ► “Default evidence sources” ► Beviskilder av ulike typer kriminalitet, innbrudd, ikke autorisert bruk. WP5 Syntese av muligheter og begrensninger

WP6 Analysemetode ► En metode for å analysere virksomhetens risiko knyttet til kriminalitets- og tvisttyper innen DESDIFOR sitt virkeområde. ► Eksponering ▪eiendeler (assets) ▪kriminalitetsstatistikk ▪tidligere erfaring ► Risiko vurdering ► Konkretisering av behov

WP7 Innsamling ► Noe krav og anbefalinger er blitt identifisert ▪Data innsamling ▪Drift ▪Dokumentasjon WP8 Bevaring ► Noe krav og anbefalinger er blitt identifisert

CTOSE ► CTOSE (Cyber Tools On-Line Search for Evidence) ► The purpose of the project is to gather available knowledge from different expert groups on all processes involved in dealing with electronic evidence and to create a methodolgy on how to deal with electronic evidence that might occur as a result of disputed electronic transactions or other computer related and high-tech crime.

Takk for oppmerksomheten!